3、构建零信任安全基础设施的要点和传统网安不同 ， 零信任不是一个产品 ， 也不仅仅是理念和思想 ， 她的本质是企业安全架构的基础设施 ， 像路由器、交换机对于企业网络的价值一样 ， 基础却又不可或缺 ， 因此从工程化视角来看 ， 零信任安全基础设施需要从基础架构、场景化功能以及集中管理三个方面体现完善的能力 。
3.1完善的基础架构以零信任理念建设的基础安全架构以用户和资源为核心 ， 核心是解决企业数据访问控制问题 ， 拒绝“隐式信任”和动态的、细粒度的安全策略都是贴近并深入理解业务 ， 将安全能力嵌入到业务流程中 。 在零信任架构下安全将与业务共同建设和演进 ， 从业务出发 ， 以保障业务数据安全为目标 。 业务场景是复杂的 ， 包括混合的数据中心、多地办公场所、多类型的员工以及无法统一管理的设备等 ， 这些挑战将要求零信任基础架构满足高性能 ， 可满足规模化员工、设备接入需求 ， 并且具有成熟组网的能力 ， 保障零信任的组网健壮性 。
高性能要求能够在较短的响应时间、较大的并发处理能力、较高的吞吐量与稳定的性能参数 ， 比如对零信任网关类产品要求能够处理大并发的用户接入请求 ， TLS建链等指标能够稳定的爬坡 ， 并在峰值保持持续稳定 。 另外 ， 大多数厂家的零信任方案具备SPA能力 ， 这就要求利用IPTables来建立动态的ACL ， 在大规模接入下也面临性能挑战 ， 往往需要优化IPTables的处理逻辑 ， 或采用其他协议来替代 ， 比如eBPF协议或许是一种不错的尝试 。
成熟组网要求零信任架构多元化的、各组件稳定服务、通信稳定可靠等 ， 在零信任要解决的场景中 ， 可以归为两大类 ， 即应用层的零信任改造和网络层（包括内外网）零信任改造 ， 网络层的零信任改造要求零信任方案具备主备、集群的能力 ， 包括控制中心异地灾备组网、多数据中心统一接入组网、多控制中心多网关组网等场景 ， 同时要保障集群之间数据同步、策略同步的一致性以及故障检测机制能够在单台或多台设备异常的情况下能够快速切换 ， 保障业务的连续性 ， 所以零信任架构中的控制平台和数据转发网关类设备均需要稳定服务 ， 对自身服务状态做多维度的监控 ， 除了对系统自身运行时的CPU使用率、内存、磁盘使用情况进行监控 ， 还可以增加对用户接入成功率、认证成功率以及链路质量等维度进行监控 ， 增加立体监控效果 。
3.2场景化搭建不同行业在零信任的应用上有着不同的关注点 ， 对零信任的应用场景和技术依赖也是各不相同 ， 企业对零信任常用来解决场景包括远程办公、多分支机构接入、安全运维、代码访问开发安全等场景 ， 在这些场景中需要解决终端资产统一管理问题、资产安全识别及准入、人员身份安全问题、应用安全问题、数据安全问题等等 ， 这种多样化场景需求要求零信任体系中的各个组件是一种松耦合的状态 ， 企业可以根据不同的场景化需求来自由搭配 ， 实现灵活的建设方案 。
在笔者看来 ， 零信任提供的场景化能力与现有企业已经具备的安全能力有重叠之处 ， 但零信任通过对访问行为的上下文关联 ， 自适应调整安全策略才是这个体系的灵魂 ， 才能够发挥安全效果1+1>2的安全收益 。

文章图片
3.3集中管理能力Forrester对零信任框架分解了七个必要支柱 ， 包括劳动力安全、设备安全、工作负载安全、网络安全、数据安全、可见性和分析、以及自动化和编排 ， 所有的安全能力均需要在零信任控制平台的管理下形成统一、高效的联动机制 ， 否则将增加零信任体系的运营成本 ， 零信任体系需要具备以下安全能力：全网统一视图想要做好安全管理首先要解决对安全资产、事件、运行情况有直观的分析和展示 ， 对零信任架构中的主客体进行全局视角的展示 ， 以及围绕主客体产生的安全事件及告警等 。

• 手机作为我们最常用的通讯工具|flyme系统的优势在哪里，为什么那么多人喜欢？
• 一般来说我们花上个几千块钱来买个手机都会是一件正很正常的事情|为什么有些人愿意花上千块钱买耳机？
• 我们都知道Win7跟Win10都属于微软推出的电脑操作系统|微软公司的两种操作系统究竟都有什么区别？
• 在我们选购手机时|lcd和oled的区别在哪里？
• 如今随着5g时代的来临|你的手机需要更换一部新机吗？
• 在如今智能手机可以说是早已经成为了我们生活中的一部分。|如果手机中了病毒，会有这几种特征，最后一种不可想象
• 如今随着5g时代的来临|如果你的手机出现了这些情况，说明你的手机可能就需要换新了！
• 手机屏幕怎么录制？在我们的生活中手机的角色越来越重要|手机屏幕录制具体怎么做？一起看看具体的录屏软件分享！
• 如何录制小视频？小视频是我们日常生活的产物|录制小视频的好用方法
• 很多时候我们为了提升自己的手机体验感|iphone的这些功能最好需要关闭，你知道吗？